实战 ｜ 记一次考试系统漏洞挖掘记录

Xor0ne

实战 ｜ 记一次考试系统漏洞挖掘记录
原创 硝基苯
来自于公众号： HACK学习呀
原文链接：https://mp.weixin.qq.com/s?__biz=MzI5MDU1NDk2MA==&mid=2247494794&idx=1&sn=4de0709564bbaf1ca64f1fe3b2a9fc89&chksm=ec1cb9b5db6b30a3cc5bd0b897d360b8c17904157d2f563357138ef8bb5893be6e4b0b5b06a2&mpshare=1&scene=23&srcid=0319Qjem8prxgNroq9SQOTbw&sharer_sharetime=1616148789742&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd

好久没发文章了，今天水一篇吧

1. http://www.xxxxxx.com/ks/

复制代码

发现考试系统，那不得进去做一下题？
​​
先全部输入1234，发现可以直接登录，直呼好家伙。

点击提交试卷的时候我们抓个包看看，一般这种地方会和数据库进行交互，所以得试试注入了
​
抓包
​
这个时候我们可以看到其实刚刚登录并没进数据库，而是在这里一起进去，所以当时没有出现登录失败之类的提示

而在这里可以进行注入，直接报错注入。

爆出库名
​
第二个点（二次注入，其实最开始发现的是这个点）
当我们提交以后
可以看到如果name是12asdf3' and 1=0 and '1'='1
可以看到回显为0
​

当12asdf3' and 1=1 and '1'='1
回显为1
​
确定了
​
dba权限
​
大量数据
​
看到admin表，进去admin看看
得到后台用户名密码，冲一手后台

1. http://www.xxxxxx.com/admin/

复制代码

• ​
  

好家伙，只有在awd和做靶场的时候遇到，平常只出到sqli就停了，这次终于遇到教科书式的后台了。

​

利用CVE-2018-9175，成功执行phpinfo

CVE-2018-9175参考：

1. https://xz.aliyun.com/t/2237

复制代码

执行payload：

1. http://www.xxxxxxx.com/admin/sys_verifies.php?a=234&action=getfiles&refiles[]=123&refiles[]=\%22;phpinfo();die();//

复制代码

​
但是这个点工具连不上，而且不知道为什么 引号用了会出问题，比如echo 1234;可以 echo '1234';无回显。

希望师傅们能在评论区指点一下，当时卡了我好一会儿。

之前sql的报错注入已经有地址了，但是还是用php函数显示一下，记录一下当前路径
​


这种很难利用，我们可以file_put_content。
我们可以找另一种方法写shell（教科书式的修改模板）
​
写入一句话
​
使用蚁剑工具连接
​
提交漏洞，收工收工